上兩篇博客已經介紹了企業應用AAA的重要性,以及通過兩個實例講解了,如何在企業中Cisco設備啓用AAA,而配置我們主要側重於是手動完成,在認證和授權是在路由器本地查詢數據庫完成的。我們考慮一個這個問題,在本地路由器上完成AAA的認證和授權,貌似沒有什麼問題,可是大家想想,對於AAA的安全性而言,我們只用到其中一小部分技術,而更重要的“審計”在本地能實現嗎?授權我們也做了一部分,在本地路由器要實現對“命令”的,雖然可以實現,但是感覺是更爲蒼白一些,總感覺自己的這種安全做法,並非科學性對吧,尤其你覺得很繁瑣,不夠靈活多樣。如果公司有幾十個用戶,每個用戶接入到網絡中都需要身份驗證(802.1X),如果在路由器上敲命令要實現就更爲困難了,而且工作量太大,這完全是一個體力活。這時候你可能期盼我們能否把認證,授權,審計,由公司內部一臺服務器來完成了,讓路由器或者交換機只需要把客戶端的訪問請求轉發給這臺服務器,其實就是我們今天要講的ACS Server,ACS Server查詢本地的數據庫,如果客戶端發送的用戶名和密碼和本地數據庫的一樣,則認證通過,再依據你的授權配置完成 相應的授權,審計也更加容易實現,可以和SQL等數據庫結合起來,把用戶的訪問記錄從開始到結束,全部記錄下來,然後管理員可以隨時查看處理這些問題。
那今天的主要問題,如果在企業環境中搭建一臺ACS Server,需要注意哪些問題?搭建這臺服務器有什麼要求?搭建之後如何維護和發揮其重要的作用?在AAA服務器上配置認證和授權,審計將陸續在後面的博客中更新,敬請期待。
大家先來看我的實驗拓撲:
ACS全名是:CiscoSecure ACS
版本號有:2.0,3.2,4.0,4.2等,今天實驗環境ACS Server服務器上安裝的4.0版本
到底什麼樣的服務器是ACS Server?答案很簡單是吧,能提供AAA認證,授權,審計等功能一臺Windows Server 服務器,該服務器上必須安裝的是Cisco Secure ACS 軟件,這樣服務器我們就可以稱爲ACS Server
ACS Server 操作系統要求爲:windows 2000 ,windows 2003,windows server 2008,無法安裝在Windows Client
安裝ACS 服務器步驟:
1,首先安裝完windows 2003 server ,設置完IP地址和(IP地址不可安裝完ACS後隨意更改,這將造成ACS通訊處問題,切記),ACS Server 軟件你可以安裝到公司的文件服務器或者其他的服務器,或者安裝到虛擬機中也可以。只要ACS Server和需要提供AAA服務的設備可以相互通信即可。
如圖1所示,ACS Server IP地址設置完畢
2,安裝Java虛擬機,(jre-6u4-windows-i586-p)下載地址 http://www.java.com 。不要安裝JAVA JDK版本,如果java沒有安裝,或者安裝的版本有問題會導致ACS 安裝完之後,打開的頁面是空白的,無法運行ACS
如圖2所示,點擊“接受”下載安裝下一步即可,
3,ACS Server屬於收費性質軟件,在cisco 網站上需要使用CCO賬號登陸就可以找到最新的版本下載,但最新的版本並不一定是最穩定的版本,軟件只有英文版,但是其他的第三方站點也提供ACS 下載。
如圖3所示,打開壓縮包中的文件,點擊“Setup”,出現安裝同意協議,點擊“ACCEPT” 下一步
4,如圖4所示,如圖勾選這4項,ACS的基本的組件,必須都選
注意提示,Cisco IOS 11.1或者之後的版本纔可以支持AAA命令,ACS Server上IE的版本最低是6.0
5,如圖5所示,ACS 默認安裝路徑,如果在生產環境下,考慮備份等問題,可以更改安裝目錄,一般默認路徑即可,不會佔用太多的磁盤空間。
6,如圖6所示,讓ACS 獨立存放自己的數據庫文件(默認選擇)
7,如圖7所示,開始安裝文件,等待幾秒,出現下一步操作
8,如圖8所示,ACS Server高級選項設置,如圖全部勾選,也可以勾選前三項,有組和用戶的設置,最大化會話數等
9,如圖9所示,ACS還提供一個重要的服務就是可以結合SMTP服務,以郵件的形式通知管理人員,AAA服務器運行狀態和日誌信息,勾選開啓日誌監視,郵件服務器的地址這裏沒有,或者不需要通過郵件來監視,就可以不用勾選,
10,如圖10所示,安裝最後一步,最關鍵的一步,也是大家最容易忽視的一步,這裏沒有留心,很可能導致你的AAA無法正常工作。那一段英文的重要意思是:配置ACS服務器的認證密鑰,密鑰的建議是8個字符,包含大小寫。
這是很多人可能會發生疑問,爲什麼要配置ACS 的認證密鑰?什麼時候會用?
再看文章前面的拓撲,ACS_Client(192.168.10.3),不是說ACS服務器還需要在路由器上來安裝個什麼客戶端的軟件,而這裏的意思是我給你路由器的起的名稱,在這一臺路由器上來配置AAA的認證、授權、審計,當訪問客戶端(192.168.10.1),要通過Telnet,SSH,Console形式登陸路由器調試和配置時,路由器會要求檢查用戶的身份是否合法,也就是要求用戶輸入登錄的用戶名和密碼,那麼登錄的用戶名和密碼,是在ACS服務器來配置的,ACS Server 和 路由器之間鏈路是通的,這時當用戶在鍵盤上輸入登錄的用戶名和密碼,路由器把登錄的請求和客戶端的輸入的密碼發送到ACS 服務器上來請求驗證,這個用戶名和密碼是否合法,在驗證用戶名和密碼的合法性之前,就首先要確定這臺路由器的身份是合法的,怎麼確定路由器的身份是合法的,在路由器和ACS Server之間通訊會有一個密碼,用這個密碼來驗證其合法性,這個密碼就是ACS Server安裝時來配置的,在路由器上配置AAA的會指定ACS SERVER key= ??? ,如果這個密碼你沒有注意或者忘記了將會直接導致AAA 服務器和路由器的通訊無法完成,無法驗證身份的合法性,ACS Server也就不會提供服務了,所以密碼請大家切記。
11,如圖11所示,ACS 安裝完成了,默認的登陸地址是http://127.0.0.1:2002 ,2002是默認的本地開放的端口,會在桌面上創建ACS快捷方式
12,如圖12所示,ACS安裝完成如圖主頁面,ACS 打開時會調用java,右下角所示,安裝完之後檢查java有無加載,如果可以正常加載,則ACS可以正常運行。
13,測試路由器與訪問客戶端,ACS Server 是否可以ping 通 ,(路由器的底層配置略過)
本文的雖然比較簡單,但是很多很多朋友不太重視,就導致AAA服務器上的認證,授權和審計經常失敗,大對數原因是沒有搞明白ACS Server的工作原理,忘了還有個什麼ACS KEY ?
下回給大家講解ACS Server 與客戶端需要通訊,提供認證、授權、審計服務,需要用什麼協議來承載和傳遞這些流量,不同的廠商設備如何選擇不同的協議(Tacacs+,Radius),各自的優缺點等